标签: 个人数据

英国航空承认最近发生的网络攻击比想象中还要糟糕

据外媒报道,日前,英国航空公司(British Airways)证实,发生于9月6日的网络攻击可能已经导致8月21日-9月5日之间的乘客的数据被盗。在与网络法医专家和英国国家犯罪署合作之后,这家公司宣布,该攻击所带来的影响比此前预测的可能还要严重。 英国航空表示,他们现在正在提醒另外一拨可能也受到影响的客户,他们的个人和支付信息可能受到损害。受影响的数据包含了7.7万张带有CVV银行卡和10.8万张没有CVV银行卡的姓名、账单地址、电子邮箱地址、卡号、卡有效期。 需要注意的是这部分受影响的客户则是在4月21日-7月28日在英国航空操作过交易的人。针对这一新发现,航空公司敦促客户尽快联系他们的借记卡或信用卡供应商,另外他们还承诺为客户提供为期12个月的信用评级监控服务并赔偿与攻击相关的任何财产损失。不过眼下,英国航空明确表示,没有迹象显示其客户的交易存在欺诈行为。 虽然现在还没有证据表明黑客将银行卡信息用于不法活动,但这起事件还是突显出了即便像英国航空这样的大公司其网络安全状况同样也令人担忧。   稿源:cnBeta,封面源自网络;

国泰航空 940 万名乘客个人数据在 3 月被盗 包含出行地点数据

据外媒报道,日前大型国际航空公司国泰航空披露,在今年3月发生的一次数据泄露事件中,该公司的940万名乘客的记录被盗,另外含有姓名、出生日期、住址等个人信息的护照信息也可能已经泄露。据悉,此次事件还涉及到了每位乘客的具体出行地点以及客户服务代表的评论等等。 另外,国泰航空还指出,有403个过期信用卡卡号、27个没有CVV号码的信用卡卡号遭到访问。 这家航空公司在周三发布的声明中指出,公司目前没有任何证据显示任何一名乘客的信息遭到滥用,而受影响的IT系统则完全跟其飞行操作系统独立开来,所以该次网络攻击事件对其飞行安全不会带来影响。此外,国泰航空表示,没有密码遭到泄露。 国泰航空总部位于中国香港,但它的服务遍布全球包括北美、欧洲、中国内地、中国台湾地区、日本、东南亚和中东。 这家公司选择在6个月后公布数据泄露事件的做法也许会在欧洲市场遇到阻碍,因为那边最新通过的通用数据保护条例要求公司在发现违规情况三天后就要告知客户和执法部门。 此外,国泰航空表示,他们现在正在与中国香港警方以及相关部门沟通。而认为自己可能受到影响的客户可以访问infosecurity.cathaypacific.com 或直接拨打公司电话或发电子邮件来获取进一步的信息。   稿源:cnBeta,封面源自网络;

卸载就完事儿了?App照样能追踪你的数据

新浪科技讯 北京时间10月23日下午消息,要是你突然发现上周删除的应用突然又从其他地方冒了出来,那可能不是巧合。迎合应用开发商的公司最近在iOS和Android上发现一个新办法,可以找到最近删除了某个特定应用的用户——然后针对这些用户发布该应用的广告使他们回心转意。 提供卸载跟踪器的公司有Adjust、AppsFlyer、MoEngage、Localytics和CleverTap等。通常,卸载跟踪器只是作为更广泛的开发者工具中的一部分。这些公司的客户包括T-Mobile US、Spotify和Yelp。批评者认为,有鉴于此,我们更有必要重新评估在线隐私权并限制公司对用户数据的使用。“大多数科技公司其实在隐私选择上根本没有给用户多少选择,”电子前沿基金会的技术政策主管,也是隐私倡导者的杰里米·吉鲁拉(Jeremy Gillula)说道。 有些供应商表示,这些跟踪工具旨在评估用户对应用更新与其他更新的反应。波士顿的Localytics的首席执行官裘德·麦克考兰(Jude McColgan)表示,他还没有看到客户使用该技术向曾经的用户投放广告。位于旧金山的MoEngage的营销和销售副总裁艾伦·马爱吉(Ehren Maedge)说,要不要这么做完全在于应用开发商。“这是我们的客户与客户自己的终端用户之间的事情。如果他们打破了用户的信任,对他们自己来说并非好事。”另外几家公司并未作出评论,T-Mobile、Spotify以及Yelp也未回复评论请求。 卸载跟踪利用了苹果和谷歌移动操作系统中的核心元素:推送通知。例如,开发者总是可以使用所谓的静默推送通知定期向应用发送回显信息而无需打扰用户——以便当应用在后台运行时刷新收件箱或社交媒体源。但是如果应用未能成功向开发者发回信息,应用则会被登记为已经卸载,然后卸载跟踪工具将这些变化记录到文件中,文件与给定的移动设备唯一广告ID关联,这样就可以轻易识别手机用户然后不管到哪都可以向他们推送应用广告。 Branch Metrics是一家开发软件的公司,但拒绝提供卸载跟踪工具。公司首席执行官亚历克斯·奥斯汀(Alex Austin)表示,这些工具违反了苹果和谷歌的政策,这些政策规定不得将静默推送通知作为开发广告受众的工具。“人们在选择不再使用你的产品之后还在互联网上跟踪他们,这样的行为很草率,”他说,并补充希望苹果和谷歌能及时采取应对措施。苹果和谷歌暂未回应评论请求。 卸载跟踪工具原本是为了用于修复漏洞或以其他方式优化应用,而无需借用问卷调查或其他侵入式工具来打扰用户。但是吉鲁拉表示,在最初本意之外滥用该系统的能力体现了与现代互联网如影随形的束缚。要使用应用,用户通常不得不同意自由分享他们的数据,有时候这种分享可能是永久性的,但从来无法确切知道日后这些数据将被如何利用。“作为一名应用开发人员,我会希望知道有多少人卸载了我的应用,”他说,“但我不会说,你有这个权利知道谁安装或卸载了你的应用。”   稿源:新浪科技,封面源自网络;

日本政府要求 FB 加强数据保护 及时告知安全措施变动

新浪科技讯 北京时间10月22日下午消息,继今年发生的一系列影响全球数千万用户的数据泄露事件后,周一日本政府要求美国科技公司Facebook更好地保护用户的个人数据。 日本政府称,作为全球最大的社交媒体网络,Facebook应向用户充分传达安全问题,提高对平台上应用供应商的监管,并及时向监管机构告知任何安全措施的变更。 上述要求发生在Facebook本月宣称黑客袭击者窃走2900万用户账户数据之后。而在此之前的4月份,英国公司剑桥分析不当使用8700万用户个人数据的事件刚刚曝光。 日本个人信息保护委员会当时与英国和其他地区的监管机构一并调查了剑桥分析的事件。周一,该委员会发布声明,详细说明了委员会对Facebook提出的要求。这些要求并不附带行政命令或处罚,也不具有法律约束力。 日本个人信息保护委员会称,Facebook已承诺将在其日语网站上详细说明如何处理上述要求。 委员会还表示,剑桥分析事件可能也影响到10万日本用户,并且之后的网络攻击也可能对日本用户造成影响。 Facebook发言人未立即发表评论。   稿源:新浪科技,封面源自网络;

Google+安全漏洞引欧洲关注 德国爱尔兰介入调查

网易科技讯 10月10日消息,据彭博社报道,搜索巨头谷歌旗下同名社交网络Google+“软件故障”被曝光后,引发欧洲隐私保护机构关注。德国汉堡的数据保护专员约翰内斯·卡斯帕(Johannes Caspar)宣布,该机构已经开始调查此事,这个漏洞可能导致多达50万用户的个人数据被泄露。 卡斯帕是欧洲最直言不讳的隐私保护官员之一。但他表示,目前对此案还没有任何见解,也没有从谷歌得到任何信息。爱尔兰隐私管理局表示,它将从谷歌获取有关这些问题的信息。将来,该机构可能成为这家科技巨头在欧洲的主要监管者。 《华尔街日报》首先报道了Google+漏洞问题。据称,虽然谷歌早在今年3月份就发现了这一漏洞,但它没有选择公开,主要是因为担心这会引来监管机构的审查,尤其是在Facebook因隐私问题受到批评之后。 在《华尔街日报》的报道发布几分钟后,谷歌在其博客上发表声明称,内部委员会决定不披露这一潜在漏洞,因为没有证据表明这些数据(包括姓名、电子邮件地址、年龄和职业)有任何被滥用迹象。该公司还称,这个漏洞在当时立即得到了修复。 这一消息加剧了谷歌在美国和欧盟的困境。过去两个月,美国两党政治家都加大了对谷歌的攻击力度,共和党人指责谷歌对他们抱有偏见,民主党人则质疑谷歌是否已经变得过于强大。 在欧洲,谷歌也面临着隐私保护和竞争监管机构的审查。欧盟7月对谷歌处以43亿欧元(约合49亿美元)的创纪录反垄断罚款,并命令其改变在Android移动设备上安装搜索和浏览器应用的方式。 谷歌驻布鲁塞尔发言人艾尔·瓦尔尼(Al Verney)没有立即回应置评请求。 在谷歌丑闻爆发之前,社交媒体巨头Facebook在过去一年内发生了多起数据泄露事件。本月,Facebook成为欧盟加强隐私保护规定的首个重大测试案例,这可能导致该公司被处相当于其每年销售额4%的罚款。 爱尔兰数据监管机构也对Facebook的一个安全漏洞展开了调查,该漏洞影响了多达5000万个账户。此事发生在5月25日,也就是欧盟新规生效之后,因此适用于新规。 由于谷歌的数据丑闻发生在3月份,因此不符合欧盟新规范畴。而按照旧有规则,即使是最严重的违规,罚款数额也相对较小。 当地时间周二,欧盟28个隐私监管机构的联合组织表示,它尚未接到有关这一数据泄露的正式通知,但它似乎确实比新法案生效更早发生。 欧盟司法专员维拉·朱罗娃(Vera Jourova)表示,这“再次提醒了我们,为什么欧盟推进现代数据保护规则是正确的。许多大型科技公司似乎并不希望进行公平竞争。”   稿源:网易科技,封面源自网络;

研究人员发现可公开访问的包含 1100 万条记录的 MongoDB 数据库

9月17日,安全研究员Bob Diachenko发现了一个可公开访问的MongoDB数据库,其中包含43.5 GB的数据和10.999.535的Yahoo电子邮件地址。除其他细节外,数据库中包含的每条记录都包括电子邮件地址,全名和性别,以及其他敏感的个人数据,如城市和邮政编码,以及实际地址。 更重要的是,除了电子邮件地址之外,还有关于邮件服务器在联系时发送状态的信息,详细说明邮件是否已发送或服务器是否拒绝了电子邮件。正如Diachenko所发现的那样,自从9月13日互联网设备搜索引擎将其编入索引时,该数据库处于在线状态并被曝光,其中包含“受损”标签和0.4 BTC赎金票据。 奇怪的是,尽管被成功破坏并且不良行为者要求数据库所有者索要赎金,但当研究人员访问数据库时,数据库未加密。暴露的数据库没有提供关于谁拥有泄露数据的任何暗示,但Diachenko发现线索,记录器本可以用作SaverSpy运营的电子营销活动的一部分,SaverSpy是一个以处理来自Coupons.com的优惠而闻名的。 Diachenko联系了两家被发现与暴露的电子营销数据库相关的组织,尽管没有收到任何人的回答,但数据库在他的联系尝试后很快就离线了。尽管Diachenko没有找到任何支付卡数据或电话号码,但是对于诈骗者,网络钓鱼者和垃圾邮件发送者来说,1100万个泄露记录中的每一个的电子邮件地址和电子邮件状态字段都是无价之宝。   稿源:cnBeta,封面源自网络;

华住 1.3 亿用户数据泄露 华住:已报警正核实

更新: 华住集团声明 今日,网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我们也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。 为正视听,特声明如下: 一、兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,擅自传播、兜售个人信息的行为均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首。 二、请相关网络用户、网络平台立即删除并停止传播上述信息。 三、华住集团保留追究相关侵权人法律责任的权利。 特此声明 华住集团 二0一八年八月二十八日 据FreeBuf报道,8月28日早上6点,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据,数据标价8个比特币,约等于人民币37万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录。而经过媒体报道之后,该发帖人称要减价至1比特币出售。 华住酒店集团旗下拥有“禧玥酒店”、“全季酒店”、“星程酒店”、“汉庭酒店”、“海友酒店”五个品牌,在全国200多个城市开设有1900多家门店。 数据包含汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友。 售卖的酒店数据分为三个部分: 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共53 G,大约1.23亿条记录;  酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,共22.3 G,约1.3亿人身份证信息; 酒店开房记录,包括内部id号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店id号、房间号、消费金额等,共66.2 G,约2.4亿条记录。 紫豹科技风险监控平台情报专家通过技术手段验证了这批数据的真伪。据悉,疑似华住公司程序员将数据库连接方式上传至github导致其泄露,目前还无法完全得知到细节。 据威胁猎人数据验证结果: 从测试数据结果来看,最低的住客年龄在95年,最近离店时间是8月13日。 从数据交叉验证来看,可以排除是卖家用老数据欺诈买家的情况,数据绝大部分为新泄露数据,而非老数据混杂售卖。 基于此,该份数据的真实性非常高,此次的数据泄露也可能成为近5年内国内最大最严重的个人信息泄露事件。 早在2013年,汉庭等酒店就出现过数据泄露,当时是因为酒店所使用的Wi-Fi管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄漏。此次数据被拖库的原因尚不清楚,华住官方暂无回应。     稿源:网易科技、环球旅讯,封面源自网络;

擅自搜集数据,德国反垄断机构今年将对 Facebook 采取行动

网易科技讯 8月28日消息,据国外媒体报道,由于调查发现Facebook滥用自己的市场垄断地位,在人员不知情或未获得人员许可的情况下收集他们的数据,德国反垄断监管机构计划今年对Facebook采取调查后的第一步行动。 在对Facebook数千万用户的数据泄露和定位广告广泛的使用越来越担忧中,这次对这家社交媒体的调查在欧洲受到密切关注。 德国反垄断机构联邦卡特尔局(FCO)尤其反对Facebook从第三方应用获取人员数据的方法以及在线跟踪甚至非会员的人员信息。这里所述第三方应用,包括Facebook旗下WhatsApp和Instagram服务。 联邦卡特尔局局长安德烈亚斯·蒙特(Andreas Mundt)周一在一个新闻发布会上表示,“我们意识到,这应该而且必须迅速进行。”他还表示,他希望今年采取“第一步措施”。不过,他拒绝透露细节。 联邦卡特尔局的这一调查一般不会对facebook等违规企业处以罚款,这与欧盟的调查处理不同。谷歌因在Android智能手机预安装其应用,在遭遇欧盟调查后被处以数十亿美元处罚罚款。 然而,知情人士表示,如果Facebook未能自愿采取行动,联邦卡特尔局可能会要求Facebook采取行动来解决其担忧。 蒙特说,“我们需要确定这是否会影响我们的调查并解决我们的担忧。” 另外,蒙特证实了他在本月早些时候接受报纸采访时发表的言词,他当时表示,按照联邦卡特尔局能够开展全部门调查的新权力,他可能会对电子商务行业启动调查。 重点将放在所谓的“混合”平台上,比如美国电子商务巨头亚马逊,这些平台销售自己的产品和服务,但还托管着第三方商家。 蒙特表示,“我们的问题是:平台本身就是一个很强大的商家,这样的平台与使用这个平台的第三方商家之间是什么样的关系?”蒙特还称,亚马逊是最知名的电商平台,但他的调查对象还将扩大到其他公司。 联邦卡特尔局不会调查第三方商家在电子商务平台上涉嫌逃税的问题,这是德国政府誓言要解决的问题,这是经济决策者关注的事项。   稿源:网易科技,封面源自网络;

Facebook 设立隐私设计实验室 TTC,将改善数据分享方式

新浪科技讯 北京时间6月13日上午消息,Facebook对美国参议院说,公司已经设立了一个设计实验室,将致力于改善人们分享个人数据的方式。 这个实验室被取名为TTC实验室。今年4月,Facebook首席执行官马克•扎克伯格在国会听证会上作证时,有2000个问题亟待向参议院回应。在后续的答复报告中,Facebook表示,打造该实验室的初心,是因为Facebook“认识到需要改进所有数码服务的数据透明度方法”,并需要与学术界、设计界和业界的其他人士合作。 Facebook在该答复报告的第146页上写道,该实验室“旨在为人们探索新的、更加以人为中心的最佳实践模式,让他们了解自己的数据是如何被数字服务所使用的,并最终推出一种他们认为更容易理解和控制的方式”。 TTC代表信任(Trust)、透明(Transparency)和控制(Control),该实验室的网站显示,TTC总部位于爱尔兰都柏林。该网站说,它是由Facebook发起和支持的,目前有60多个其他组织参与其中,但它没有列出其他各方的名字。 Facebook没有立即就要求提供更多信息的请求做出答复。公司最近又受到了一波批评:外界批评其要求用户同意欧洲的《通用数据保护条例》(GDPR)的步骤被设计得过于草率,这使得Facebook能轻易地让用户继续同意数据收集,并继续使用社交网络应用程序。该份对美国立法者(议员)的答复报告是由美国参议院商业委员会于当地时间周一发布的。   稿源:新浪科技,封面源自网络;

Facebook 被曝常年向苹果等 60 家手机厂提供用户隐私

腾讯科技讯 社交网络巨头Facebook陷入了公司历史上史无前例的舆论抨击风暴中,原因是向外界擅自披露用户数据和信息,侵犯民众隐私权益。Facebook的丑闻并未结束,据美国媒体最新爆料,多年来,Facebook向全球大批手机厂商提供了用户信息,包括私人日程安排等,最近批评Facebook的苹果公司也是获得信息的厂商之一。 Facebook旗下拥有20亿用户,该公司长期倡导实名制,但是Facebook对外散布用户信息的举动,却达到了触目惊心的地步。 据美国《纽约时报》6月3日披露,在过去多年中,Facebook一共和大约60家设备厂商签署了协议,向他们提供用户隐私信息,这些厂商中包括了三星、苹果、微软、黑莓、亚马逊等。 今年初,Facebook爆发英国剑桥分析公司获取信息的丑闻之后,上述的合作中一共有22项停止,但是其余合作继续生效。 据报道,在剑桥分析丑闻发生后,Facebook曾经对外声称2015年之后就停止了类似的用户隐私信息分享,但是这当中不包括手机厂商。 Facebook公司对媒体表示,他们严格限制手机厂商对用户隐私信息的使用,另外目前尚未发生手机厂商滥用用户信息的案例。 Facebook向手机厂商提供了用户的哪些信息,目前尚不得而知。 苹果公司一名发言人则表示,苹果需要使用来自Facebook的用户信息,来提供某些功能,比如在不打开Facebook客户端的情况下上传照片。不过去年九月份,苹果切断了数据分享管道。 据悉,Facebook的个人隐私政策中提到,将会向手机等设备制造商提供用户信息的访问权限,其中包括不同用户之间的人际关系、日程安排、宗教和政治信息。 另外,尽管Facebook的一些用户并未选择对外界披露数据,但是这些数据仍然能够被手机厂商获取到。 《纽约时报》披露的情况,对于苹果公司来说是一次“打脸”。 众所周知的是,在Facebook丑闻发生之后,苹果掌门人库克和扎克伯格、Facebook首席运营官桑德博格发生了口水战。 库克批评Facebook不保护用户隐私,面对库克的批评,扎克伯格认为他的表态非常油嘴滑舌,不符合事实。 显然,《纽约时报》的报道表明,苹果公司本身就从Facebook获取了大量的用户信息,这影响到多少同时拥有苹果和Facebook账号的用户,尚不得而知。 在个人隐私保护方面,苹果一般获得业内和消费者的肯定。网络广告并不是苹果的重要业务,苹果一般不采集用户信息并将其提供给广告主。库克等人之前也批评过谷歌等同行大量采集用户隐私的做法。 另外,最近外媒报道称,苹果又开始重视广告业务,他们是否会改变传统,开始大规模采集用户信息,尚不详。   稿源:腾讯科技,封面源自网络;